I. Pendahuluan

Saat ini, banyak aktivitas kita dilakukan melalui aplikasi web, seperti belanja online, mengakses media sosial, dan transaksi perbankan. Sayangnya, semakin banyak pengguna dan data yang tersimpan, semakin besar pula risiko keamanannya. Salah satu ancaman yang cukup umum tapi sering diabaikan adalah serangan Cross Site Scripting atau disingkat XSS.

XSS adalah jenis serangan yang memanfaatkan celah dalam aplikasi web, khususnya pada bagian input pengguna yang tidak disaring dengan benar. Dalam artikel ini, kita akan membahas jenis-jenis XSS yang paling umum dan memberikan contoh nyata dari dunia internet.

II. Pengertian Cross Site Scripting (XSS)

Cross Site Scripting (XSS) adalah serangan yang terjadi ketika penyerang menyisipkan kode berbahaya, biasanya JavaScript, ke dalam halaman web. Ketika pengguna membuka halaman tersebut, skrip akan dijalankan secara otomatis oleh browser tanpa sepengetahuan mereka.

Serangan ini bisa dimanfaatkan untuk mencuri informasi pribadi, seperti cookie dan password, atau bahkan mengarahkan pengguna ke situs palsu. XSS terjadi karena input pengguna (seperti kolom komentar atau form) tidak diperiksa atau difilter dengan baik oleh sistem.

III. Jenis-Jenis XSS

  1. Stored XSS (Tersimpan)
    Stored XSS adalah jenis serangan di mana skrip berbahaya disimpan secara permanen di server. Ini bisa terjadi di kolom komentar, profil pengguna, atau pesan forum. Ketika pengguna lain membuka halaman yang mengandung skrip tersebut, browser mereka langsung menjalankannya.

Contoh dunia nyata: Pada sebuah forum online, seorang penyerang menulis komentar yang berisi JavaScript. Setiap kali pengguna lain membuka komentar itu, skrip dijalankan dan mencuri cookie mereka. Ini pernah terjadi di beberapa situs berita dan forum komunitas besar.

  1. Reflected XSS (Dipantulkan)
    Reflected XSS terjadi ketika skrip berbahaya dimasukkan melalui URL atau formulir dan langsung dipantulkan kembali oleh server ke halaman web. Skrip ini tidak disimpan di server, tapi hanya aktif jika pengguna membuka tautan khusus yang dibuat oleh penyerang.

Contoh dunia nyata: Seorang penyerang membuat tautan palsu ke halaman pencarian suatu website. Saat pengguna mengeklik tautan itu, browser mereka menjalankan skrip berbahaya yang tersembunyi dalam URL. Ini biasa digunakan dalam serangan phishing.

  1. DOM-Based XSS
    DOM-Based XSS terjadi sepenuhnya di sisi pengguna (browser). Serangan ini tidak melibatkan server sama sekali. Biasanya terjadi ketika JavaScript dalam halaman web langsung menggunakan input pengguna tanpa pemeriksaan.

Contoh dunia nyata: Sebuah aplikasi dashboard online yang menampilkan informasi berdasarkan parameter URL. Jika JavaScript di halaman tersebut tidak aman, penyerang bisa memanipulasi URL untuk menyisipkan skrip dan menipu pengguna.

IV. Perbandingan dan Analisis

Perbedaan ketiga jenis XSS terletak pada cara skrip berbahaya dijalankan dan dari mana asalnya:

  • Stored XSS disimpan di server, dampaknya bisa bertahan lama dan mengenai banyak pengguna.

  • Reflected XSS tidak disimpan, tapi bisa disebarkan lewat tautan. Dampaknya hanya terjadi jika link dibuka.

  • DOM-Based XSS terjadi hanya di browser, tanpa campur tangan server. Biasanya ditemukan di aplikasi web yang kompleks.

Setiap jenis XSS punya karakteristik dan cara penanganan berbeda, tapi semuanya sama-sama berbahaya jika dibiarkan.

V. Dampak Serangan XSS

Serangan XSS bisa menyebabkan berbagai kerugian, antara lain:

  • Mencuri informasi penting pengguna, seperti username, password, atau nomor kartu

  • Mengambil alih sesi login (session hijacking)

  • Mengarahkan pengguna ke situs palsu atau berbahaya

  • Menyebarkan malware ke pengguna lain

  • Merusak reputasi situs dan menyebabkan kehilangan kepercayaan pengguna

VI. Studi Kasus Tambahan

Beberapa perusahaan besar pernah mengalami serangan XSS:

  • Twitter sempat mengalami serangan stored XSS yang membuat pengguna membuka tautan palsu dari tweet berisi skrip berbahaya.

  • eBay juga pernah menemukan celah XSS pada halaman produk, di mana penjual bisa menyisipkan JavaScript untuk mencuri informasi pembeli.

Kedua kasus ini menunjukkan bahwa XSS bisa terjadi bahkan di situs yang terkenal dan digunakan oleh jutaan orang. Hal ini menunjukkan pentingnya perlindungan terhadap semua jenis XSS.

VII. Langkah Pencegahan Umum untuk Semua Jenis XSS

Untuk mencegah XSS, berikut beberapa langkah yang bisa diterapkan oleh pengembang web:

  • Validasi dan sanitasi input pengguna: semua data dari pengguna harus diperiksa dan dibersihkan dari karakter berbahaya seperti <, >, " dan '.

  • Escaping output: saat menampilkan data, ubah karakter khusus agar tidak dijalankan sebagai kode.

  • Gunakan Content Security Policy (CSP): aturan yang membatasi skrip mana saja yang boleh dijalankan di halaman web.

  • Gunakan framework yang aman: seperti React, Angular, atau Vue yang sudah dilengkapi perlindungan XSS bawaan.

  • Uji keamanan secara rutin: gunakan alat seperti OWASP ZAP atau Burp Suite untuk mendeteksi celah keamanan.

VIII. Kesimpulan

XSS adalah salah satu bentuk serangan siber yang paling sering terjadi pada aplikasi web. Ada tiga jenis utama XSS, yaitu Stored, Reflected, dan DOM-Based, masing-masing dengan cara kerja dan tingkat risiko yang berbeda.

Dengan mengenali jenis-jenis XSS dan mempelajari contoh kasus nyatanya, pengembang dan pemilik website bisa lebih waspada dan proaktif dalam menjaga keamanan sistem mereka. Pencegahan yang tepat akan membuat pengguna merasa aman, dan website menjadi lebih terpercaya.

NAMA: AISYA

NIM: 23156201029

PRODI: SISTEM KOMPUTER